Die Folgen der DSGVO für Klein- und Mittelständische Unternehmen
Einer Studie des Digitalverbandes Bitkom zufolge hat sich in Deutschland bei der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) nur jedes zweite Unternehmen Hilfe von externen Experten geholt. Davon haben rund 35 Prozent der Unternehmen externe Anwälte, 29 Prozent externe Prüfer oder Auditoren konsultiert und 21 Prozent eine externe Datenschutzberatung in Anspruch genommen. Nur 25 Prozent der Unternehmen haben zusätzliches Personal eingesetzt, um die Umsetzung der DSGVO voranzubringen. Davon haben fünf Prozent der Unternehmen zusätzliches Personal eingestellt und 20 Prozent vorhandenes Personal für die DSGVO-Umsetzung umstrukturiert.
Da die Datenschutzgrundverordnung am 25. Mai 2018 in Kraft getreten ist, stellt sich für kleine und mittelständische Unternehmen (KMU) die Frage, inwiefern sie von der neuen DSGVO tangiert werden. Als ein KMU gilt ein Unternehmen, wenn es weniger als 250 Personen in Vollzeit beschäftigt und höchstens einen Jahresumsatz von 50 Mio. erzielt oder die Jahresbilanzsumme sich auf höchstens 43 Mio. Euro beläuft. Ein Kleinstunternehmen beschäftigt weniger als 10 Personen in Vollzeit und hat einen Jahresumsatz von maximal 2 Mio. Euro. In der EU sind ungefähr 99 % der Unternehmen KMU. Im Folgenden zeigen wir eine Checkliste, anhand welcher KMU sehen können, worauf sie bezüglich der DSGVO achten müssen.
DSGVO-Checkliste für KMU
- Alle personenbezogenen Daten, die in Ihrem Unternehmen gesammelt, gespeichert und genutzt werden, ausfindig machen und dokumentieren.
- Dokumentieren und sichtbar machen, wer die personenbezogenen Daten einsehen oder bearbeiten kann und wer welche Bearbeitungen zu welchem Zeitpunkt vorgenommen hat.
- Eine Übersicht über die Auftragsverarbeiter von Ihren Daten erstellen und Zeitpunkt und Form des Austausches mit Dritten aufzeigen.
- Die Einwilligung des Betroffenen dokumentieren, dass Sie seine Daten sammeln und verarbeiten dürfen.
- Abklären, ob Sie einen Datenschutzbeauftragten benötigen. In Deutschland wird ein betrieblicher Datenschutzbeauftragter benötigt, wenn im Unternehmen mindestens zehn Personen personenbezogene Daten verarbeiten oder wenn es sich bei dem Unternehmen um einen Adresshändler oder eine Auskunftei handelt.
- Datenschutz- und Sicherheitsmechanismen für Aktivitäten mit personenbezogenen Daten einbauen. Diese führen mindestens einmal jährlich Tests durch, bei denen Sicherheitsupdates für Software und Systeme eingespielt und schriftlich dokumentiert werden.
- Sensible Personendaten von beispielsweise Kunden oder Mitarbeitern verschlüsseln.
- Personenbezogene Daten löschen, die nicht mehr für den ursprünglichen Zweck benötigt werden und bei denen keine gesetzliche Pflicht zur Aufbewahrung besteht.
- Geeignete Technologien und Prozesse einsetzen, um personenbezogene Daten zu sichern und gegen Angriffe zu verteidigen. Bei einem Angriff sind Sie als Unternehmen verpflichtet, dies bei den zuständigen Regulierungsbehörden zu melden und die betroffenen Personen zu benachrichtigen.
- Eine geeignete Risikomethode finden, um die Datenschutz-Folgeabschätzung vorzunehmen und den Prozess testen.
- Eine Kosten-Nutzen-Analyse durchführen und die Implementierungskosten als Abwägungskriterium berücksichtigen. Dabei soll der Schutz der Betroffenen im Vordergrund stehen.
- Eine Übersicht der Social Media Konten und Nutzer dieser Firmenkonten erstellen und Vorkehrungen treffen, um personenbezogene Daten auf diesen Plattformen zu schützen.
Darüber hinaus erhält Zertifizierung mit der DSGVO eine neue Bedeutung. Demnach erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen, sodass sie den Regelungen der DSGVO entsprechen und somit die Bußgelder, die bei Datenschutzverstößen anfallen, umgehen können. Speziell für kleine und mittelständische Unternehmen wurde eine solche Zertifizierung entwickelt, die sogenannte ISIS12, wobei Unternehmen in zwölf Stufen zertifiziert werden.
Die Praxis zeigt jedoch, dass viele KMU nicht über genügend Mittel verfügen, um alle genannten Punkte umzusetzen. Experten empfehlen deshalb, Prioritäten zu setzen und zuerst die tatsächlichen Anforderungen zu erfüllen. Des Weiteren können KMU bei Aufsichtsbehörden Hilfe in Anspruch nehmen und gleichzeitig den aktuellen Stand dokumentieren. Darüber hinaus sollten KMU prüfen, ob bereits DSGVO-branchenspezifische Verhaltensregeln entwickelt wurden und diese dementsprechend befolgen.
Gastautor Alexander Kretschmar
.